WordPress用户注意了！警告砍掉漏洞Total Donations外挂

专门打造资安插件的Wordfence警告，专供WordPress网站收取捐款的Total Donations插件含有众多漏洞，当中不乏允许黑客接管网站的重大漏洞，且Total Donations的开发商Calmar Webmedia显然已不再维护该程序，亦未响应Wordfence的询问，建议Total Donations用户直接移除此一插件。Total Donations为一针对WordPress所设计的捐款插件，支持PayPal、Authorize.net与Stripe等支付平台，经常被与其它捐款程序相提并论，它的原价为28美元，迄今仍有WordPress插件网站以5美元在促销Total Donations。

而Wordfence则是先在一个WordPress网站的存取纪录中发现了许多可疑的AJAX活动，追查之下才知道它安装了Total Donations，进而了解黑客的攻击流程及所开采的漏洞。Wordfence威胁分析师Mikey Veenstra说明，Total Donations在WordPress中注册了88个独特的AJAX行动，每一个都能被未经授权的使用者存取，当中的49个更可用来存取机密数据、变更网站的内容与配置，甚至是接管整个WordPress网站。其中，最明显的漏洞是允许未经授权的使用者存取或变更任何WordPress上的选项，意味着任何人都能注册一个具备管理权限的账号，恣意地执行任何恶意行动。

此外，当Total Donations连结支付平台Stripe时，可透过Stripe的Plans API来安排经常性的捐款，然而，可存取这些计划的各种AJAX功能完全缺乏访问控制。于是，黑客能够变更这些经常性的捐款计划，辅以其它漏洞之后还能变更Stripe API密钥的选项，以将捐款转移到由黑客掌控的Stripe账号。既然已可轻松接管WordPress网站，其它的漏洞相对显得微不足道，但Veenstra还是忍不住揭露Total Donations也允许黑客存取邮件列表以营销捐款活动，存取私人或尚未发表的捐款报告，展开SQL injection攻击，或让WordPress网站成为殭尸网络的尖兵。

Veenstra在今年1月中旬尝试与开发商Calmar Webmedia联系，却发现官网并未建置完全，且最后一次的维护时间为去年5月，透过官网寄出的邮件也是音讯全无，判断此一产品已遭到弃守，不必再冀望开发商的修补，也让Veenstra决定将他的发现公诸于世。由于Calmar Webmedia在Total Donations中内建了一个备用的AJAX端点，就算是关闭了Total Donations，也能藉由该端点加载WordPress环境，进行注册与执行任何的AJAX行动，也能被用来呼叫任何功能，因此Veenstra强烈建议Total Donations用户不要只是关闭该插件的功能，而应整个移除它。更多相关的内容来源至：www.cafes.org.tw/info.asp